Ciao a tutti.
Premetto che evito il più possibile le variabili GET perchè sono un po' "terrorizzata" dagli attacchi di injections.
Se proprio dovessi utilizzarle come potrei salvaguardarmi?
Un semplice htmlentities potrebbe bastare?
Grazie
Sonia
Ciao a tutti.
Premetto che evito il più possibile le variabili GET perchè sono un po' "terrorizzata" dagli attacchi di injections.
Se proprio dovessi utilizzarle come potrei salvaguardarmi?
Un semplice htmlentities potrebbe bastare?
Grazie
Sonia
Filtra sempre le variabili, puoi usare queste due funzioni:
https://www.php.net/manual/en/function.filter-var.php
https://www.php.net/manual/en/function.filter-input.php
Usa pdo con i prepared statements per accedere al database.
Disabilitane l'emulazione settando l'attributo di pdo PDO::ATTR_EMULATE_PREPARES a false.
Controlla che se vengono generati degli errori non vengano mostrati all'utente, specialmente se contengono informazioni "sensibili".
In questo modo hai una buona protezione verso gli attacchi sql injection.
Ultima modifica di M4V1; 22-10-2020 a 15:40
Rispondi quotando
